Cyberbezpieczeństwo w e-commerce

Czas pandemii Covid-19 przyspieszył wzrost transakcji elektronicznych i transfer firm ze świata offline do online. Szeroko pojęta, wzmożona działalność w sieci stwarza nie tylko możliwości skalowania biznesu, ale również zwiększa pole manewru dla cyberprzestępców. Branże działające w e-commerce powinny być świadome zwiększonego ryzyka cyberataków ze względu na rosnącą ilość przetwarzanych danych osobowych i numerów kart kredytowych.

Na co warto zwrócić uwagę prowadząc sprzedaż internetową w kontekście bezpieczeństwa swoich klientów?

Aby odpowiedzieć na to pytanie, trzeba poznać i zrozumieć najczęstsze zagrożenia biznesów online. W końcu, jak mówi stare łacińskie przysłowie, brak wiedzy nie jest usprawiedliwieniem. Trudno się z tym nie zgodzić i trudno też szukać rozwiązań, nie znając mechaniki problemu. Dlatego w telegraficznym skrócie wyjaśniamy popularne pojęcia związane z rodzajami ataków cyfrowych.

Malware - działania hakerów, które polegają np. na przekierowaniach na strony ze złośliwym oprogramowaniem, wysyłaniem fałszywych informacji o wygranej w loterii itp. Po kliknięciu w niepewny link, komputer może jednak zostać zainfekowany przez wirusy, które mają na celu np. zniszczenie przechowywanych na nim informacji.

Skimming - przechwytywanie informacji poprzez podszywanie się pod pracownika danej firmy (np. banku lub przychodni lekarskiej), wykorzystywanie sztucznej inteligencji do wyłudzania danych.

Man in the middle (MITM) - technika polegająca na wykorzystaniu interakcji np. wymiany mailowej między dwoma osobami w cely przechwycenia danych, i pokierowaniu nią, tak, aby odbiorcy wiadomości byli przekonani, że są stronami rozmowy.

Distributed denial of Service (DDoS) - ataki polegają na częściowych i całkowitych zakłóceniach w funkcjonowaniu strony. Czy także pamiętasz, jak na początku edukacji zdalnej w 2020 roku dosłownie padały e-dzienniki Librus i platformy typu Teams? Serwery nie były przygotowane na obsłużenie tak dużej ilości ruchu. Ataki DDoS polegają właśnie na tym, że przestępcy obciążają serwery za pomocą różnych adresów IP i botów. W efekcie hakerzy mogą doprowadzić do wyłączenia z użytkowania strony, co przynosi ogromne straty.

Phishing - często stosowana metoda, która polega na zmanipulowaniu użytkownika i w ten sposób sprowokowanie go do wprowadzenia swoich danych w określonym miejscu, do złudzenia przypominającym np. stronę logowania banku.

O każdej z powyższych form ataków hakerskich można napisać osobny artykuł. Rozwój technologiczny oraz wzrost inteligencji cyfrowej niesie za sobą wiele korzyści dla biznesu, edukacji czy medycyny, ale również niemało zagrożeń. Mając świadomość, że takie istnieją, dbajmy o bezpieczeństwo naszych firm, pracowników oraz klientów, za których dane jesteśmy odpowiedzialni.

Jak możemy zabezpieczyć się przed cyberatakami?

Po pierwsze twórz kopie zapasowe danych. Dzięki temu, po awarii o wiele szybciej przywrócisz stronę do funkcjonowania, a brak utraty jedynej kopii informacji może ograniczyć zasadność żądania okupu ze strony hakerów.

Po drugie korzystaj z nowoczesnych rozwiązań uwierzytelniających, jak np. system podwójnego logowania, potwierdzania autentyczności drugim narzędziem autoryzacyjnym w przypadku logowania się do konta z nowego urządzenia. Z jednej strony jest to frustrujące dla użytkowników, z drugiej chroni zarówno ciebie, jak i klientów.

Po trzecie na bieżąco aktualizuj zabezpieczenia i korzystaj z najnowszych wersji programów antywirusowych. Cyberprzestępcy to uważni analitycy, którzy znają ludzką słabość do ryzyka i prokrastynacji. Jednak odkładania na później aktualizacji systemu może cię dużo kosztować. Hakerzy tylko czekają na moment, aż zobaczą luki w twoim starym oprogramowaniu. Do takiego o wiele łatwiej jest się włamać.

Po czwarte przemyśl politykę dostępu do danych. Szczególnie wtedy, kiedy korzystasz z usług zewnętrznej firmy. Udzielaj dostępów do poszczególnych baz danych tylko kiedy to jest niezbędne, i najlepiej jak najmniejszej liczbie osób. Nie chodzi o brak zaufania do pracowników, tylko o minimalizowanie ryzyka wycieku informacji, które naturalnie wzrasta wraz z większą dostępnością do danych.

Po piąte stosuj bezpieczne hasła. Zachęcaj użytkowników do wymyślania kreatywnych, długich i niepowtarzalnych haseł podczas zakładania kont w Twoich serwisach. Wszystko po to, aby przechytrzyć algorytmy.

Po szóste edukuj siebie i swój zespół. Obecnie firmy szkoleniowe prywatne, ale także uczelnie, organizują kompleksowe szkolenia z cyberbezpieczeństwa dla firm. Podczas szkoleń z zakresu bezpieczeństwa danych i z cyberbezpieczeństwa, eksperci i praktycy krok po kroku przeprowadzą ciebie i twój zespół przez szereg przydatnych zagadnień, jak np. bezpieczeństwo haseł, uwierzytelnienie dwuskładnikowe, RODO, inżynieria społeczna, sieci zabezpieczone i niezabezpieczone, praca w trybie incognito i inne.

Po siódme ubezpiecz swoją stronę, firmę, biznes od ataków cybernetycznych.

Dziś każdy większy ubezpieczyciel podmiotów gospodarczych posiada w swojej ofercie ubezpieczenie od cyberataków dla biznesu. Możesz zyskać m.in. pokrycie kosztów związanych z roszczeniami czy naprawą szkód.

Po ósme testuj i aktualizuj regularnie swój e-sklep oraz powiązane z nim systemy informatyczne. Przeprowadzaj cotygodniowe audyty bezpieczeństwa na wszystkich komputerach w sieci i aktualizuj oprogramowanie zabezpieczające.

Po dziewiąte zleć testy penetracyjne zespołowi cyber analityków. Eksperci ocenią m.in. jak trudne i czasochłonne jest przedostanie się hakerów do twoich danych lub, jakie ruchy mogą wykonać wykorzystując określone luki.

Jak widzisz, ochrona prywatności danych klientów, własności intelektualnej oraz informacjach o karcie kredytowej lub debetowej klienta - to tylko niektóre z oczywistych powodów, dla których poważne potraktowanie cyberbezpieczeństwa powinno uzupełniać plan dotyczący działań w twojej firmie na przestrzeni każdego roku. Jeśli uważasz, że temat jest ważny i warty pogłębienia, wesprzyj badania Europejskiej Agencji ds. Cyberbezpieczeństwa i wypełnij ankietę na stronie https://www.parp.gov.pl/component/content/article/62947:cyberbezpieczenstwo-w-firmie-ankieta.